Frågor och svar om Cybersäkerhetskollen

Sverige behöver bli bättre på att följa upp sin informations- och cybersäkerhet. Mot bakgrund av detta fick MSB 2019 ett regeringsuppdrag om att ta fram en struktur för uppföljning av det systematiska informationssäkerhetsarbetet.

MSB har därför tagit fram ett uppföljningsverktyg, Infosäkkollen, som ska ge verksamheterna bättre stöd och samtidigt möjliggöra överblick och utveckling på nationell nivå. Uppföljning upplevs ofta svårt. Med verktyget blir det konkret och du får återkoppling direkt.

29 mars 2023 mottog MSB ett tilläggsuppdrag av regeringen att bredda Infosäkkollen till NIS-leverantörer, samt att ta fram en uppföljningsstruktur för it-säkerhetsåtgärder, It-säkkollen.

I samband med lansering 2024 fick Infosäkkollen och It-säkkollen ett nytt samlingsnamn, Cybersäkerhetskollen.

Med Cybersäkerhetskollen får din organisation en bättre bild av informations- och cybersäkerhetsarbetet i organisationen och förslag på utvecklingsområden, samt underlag för planering och prioritering.

När ni rapporterar in ert resultat kan ni också jämföra nivån på ert arbete med andra liknande organisationer. Dessutom bidrar ni till förmågebedömningen av cybersäkerheten hos det civila försvaret.

Alla offentliga organisationer och organisationer som omfattas av NIS-lagstiftningen.

Även organisationer som inte omfattas av NIS-lagstiftningen, men som bedriver ett systematiskt informations- och cybersäkerhetsarbete som de vill följa upp kan ha nytta av Cybersäkerhetskollen.

Varje organisation kan rapportera in sitt svar. En kommun och ett kommunalt bolag ska därför svara separat då det är två olika organisationer. Vid inrapportering av svar möjliggörs jämförande återkoppling.

Den 6 september 2024. Instruktioner för inrapportering återfinns här nedan samt i Infosäkkollen under fliken ”Säker hantering”.

De organisationer som rapporter in sina svar får återkoppling i form av jämförelser med andra organisationer. Vi hoppas också att de organisationer som använder verktyget vill bidra till den samlade utvecklingen, men det finns inget obligatorium kring inrapporteringen.

Den 29 mars 2023 mottog MSB en utvidgning av regeringsuppdraget gällande att ta fram en uppföljning av it-säkerhetsåtgärder, It-säkkollen (Fö2023/00697). It-säkkollen är en uppföljningsstruktur av en organisations arbete med dess it-säkerhetsåtgärder. It-säkkollen är en flik i Infosäkkollen.

Genom att svara på It-säkkollen får ni en insikt i vad som krävs för att er organisation ska arbeta väl med it-säkerhet, samt bidrar till vidareutvecklingsarbetet av It-säkkollen. Er medverkan förbättrar Sveriges cybersäkerhet

Under 2023 genomförs en enklare variant av It-säkkollen. En gedigen version kommer arbetas fram under 2023, testas tillsammans med målgrupp under 2024 och därefter genomföras i full skala 2025. I sin färdiga form kommer It-säkkollens metodologi efterlikna Infosäkkollens.

Även om de två uppföljningsstrukturerna tillsynes kan upplevas likna varandra så undersöker de olika saker. Infosäkkollen följer upp på en organisations systematiska informations- och cybersäkerhetsarbete. It-säkkollen följer upp på en organisations it-säkerhetsåtgärder.

Regeringsuppdraget som ligger till grund för Infosäkkollen och It-säkkollen säger att det är för en organisations eget uppföljnings- och förbättringsarbete. MSB idkar inte tillsyn på sakområdet, utan svaren redovisas endast på aggregerad nivå för att presentera en nationell lägesbild på informations- och cybersäkerhetsområdet.

I modellen kan fyra nivåer uppnås. Nivåerna baseras på hela organisationens samlade arbete inom samtliga de tio arbetsområden som behandlas i spindeldiagrammet. 0 står för nivån en organisation befinner sig på innan den har uppnått någon av nivåerna 1-4.

Nivå 5 står för att man har uppnått maxpoäng inom ett arbetsområde. Du kan läsa mer om nivåerna i fördjupningsinformationen.

MSB har fått i uppdrag av regeringen att skapa en nationell lägesbild av nivån på det systematiska informations- och cybersäkerhetsarbetet hos samhällsviktiga verksamheter, vilket i dagsläget saknas.

Utifrån lägesbilden får MSB en bättre bild av de utmaningar olika organisationer står inför. Baserat på resultatet kan MSB förbättra sitt stöd inom informations- och cybersäkerhet till samhällsviktiga verksamheter.

Alla svar rapporteras in via ett formulär på MSB:s e-tjänsteportal. 

MSB:s e-tjänster

Formuläret inleds med att ni får göra en informationsklassning av ert svar, och beroende på den får ni en inrapporteringsrutin. Flödet är dynamiskt. Det finns fyra sätt ni kan inrapportera på:

1. För svar som inte omfattas av sekretess bifogas svarsfilen i formuläret.
2. För svar som omfattas av sekretess bifogas svarsfilen i formuläret.
   
   Om ni anser att ert svar omfattas av säkerhetsskydd ska ni rapportera in med ett ändamålsenligt signalskydd eller använda PostNords tjänst för värdeförsändelse.
   
   
3. Om ni avser använda signalskydd ska PGBI-nyckel beställas genom cybersakerhetskollen@msb.se senast 15/5 2024.
4. Om ni avser använda värdeförsändelse ska ni lägga svarsfilen okrypterad på ett USB-minne i ett kuvert, märkt "Cybersäkerhetskollen". Lägg sedan kuvertet i en säkerhetspåse. Sedan skickar ni säkerhetspåsen som värdeförsändelse med PostNord. Ni måste spara säkerhetspåsens och värdeförsändelsens nummer så att det kan skrivas in i formuläret på e-tjänsteportalen, detta för att MSB ska kunna verifiera vid mottagandet. Adressen ni ska skicka till är:
   
   Myndigheten för samhällsskydd och beredskap
   651 81 Karlstad

De som skickar in sina svar till MSB kommer att få en särskild återkoppling tillbaka som kan användas för att på enkelt sätt jämföra de egna resultaten med liknande organisationer.
Myndigheten kommer inte att publicera något som avslöjar en enskild aktörs egna förhållanden.
• Finns det inte en risk att en den nationella lägesbilden över samhällsviktiga verksamheters informations- och cybersäkerhet visar vilka sårbarheter som finns?

En samlad rapport kommer att på ett övergripande plan redogöra för hur läget ser ut, men det kommer inte gå att utifrån rapporten sluta sig till specifika sårbarheter som kan utnyttjas i någon direkt bemärkelse.
I den mån brister kommer att framgå, så kommer de bristerna behandla just de bakomliggande arbetssätten, snarare än brister i eller avsaknad av enskilda säkerhetsåtgärder.

Dock är det så att kombinationen av många enskilda organisationers information samlat kan resultera i en skyddsvärd mängd data. MSB har tagit detta i åtanke, och det är därför myndigheten lämnar särskilda instruktioner för säker hantering, så att hela kedjan av insamling och överföring av information skyddas.

En samlad rapport kommer att på ett övergripande plan redogöra för hur läget ser ut, men det kommer inte gå att utifrån rapporten sluta sig till specifika sårbarheter som kan utnyttjas i någon direkt bemärkelse.

I den mån brister kommer att framgå, så kommer de bristerna behandla just de bakomliggande arbetssätten, snarare än brister i eller avsaknad av enskilda säkerhetsåtgärder.

Dock är det så att kombinationen av många enskilda organisationers information samlat kan resultera i en skyddsvärd mängd data. MSB har tagit detta i åtanke, och det är därför myndigheten lämnar särskilda instruktioner för säker hantering, så att hela kedjan av insamling och överföring av information skyddas.

Du genomför uppföljningen genom att steg för steg gå igenom och besvara ett antal frågor i det Excel-baserade verktyget. Det finns olika typer av frågor i verktyget som ska undersöka olika aspekter på ert informations- och cybersäkerhetsarbete.

Exempel på frågor som ni kan hitta i verktyget är:

Har organisationen haft en informationssäkerhetspolicy de senaste två åren?
Om svaret är ja, ange vad policyn har innehållit (till exempel ledningens inriktning för informationssäkerhetsarbetet).

I vilken utsträckning har organisationen, de senaste två åren, klassat sin information enligt sitt arbetssätt för informationsklassning?

När ni svarat på alla frågor får ni ett resultat som visas på en särskild flik i verktyget (återkoppling). Där kan ni bland annat se utvecklingsområden samt tips och hänvisningar till stöd för ert utvecklingsarbete.

Vidare anvisningar om hur ni använder Infosäkkollen finns i verktyget och i Fördjupningsinformationen (se under Vidare läsning).

Verktyget är främst till för den eller de i er organisation som driver organisationens arbete med informationssäkerhet, exempelvis en CISO. Finns det ingen sådan roll så kan det vara någon i en stabsfunktion.
Infosäkkollen är också till för att ge ledningsgrupper ett bättre underlag för uppföljning av det systematiska informations- och cybersäkerhetsarbetet.

För att kunna besvara frågorna fullt ut krävs vanligtvis att andra delar av organisationen engageras på olika sätt.

CISO (eller motsvarande) håller sannolikt ihop arbetet, men underlag till olika svar behöver samlas in från flera verksamhetsområden. Ledningens engagemang underlättar för att uppföljningen ska kunna genomföras och resultaten omhändertas.

Hur lång tid det tar att svara på frågorna beror på många faktorer och är därför svårt att uppskatta. Effektiv tid bedöms vara minst en eller ett par dagar, men ledtiden för att samla in informationen kan vara betydligt längre. Beroende på organisation och arbetssätt kan det i vissa fall röra sig om några veckor eller en ännu längre period.

Ja, något ska ha funnits på plats, eller utförts, med en viss regelbundenhet under den senaste tvåårsperioden (om inget annat uttrycks i den specifika frågan).

Anledningen till att mätperioden är över två år är att modellen undersöker etablerade arbetssätt och inte en ögonblicksbild av informations- och cybersäkerhetsarbetet. För modellen är det avgörande att alla organisationer mäts utifrån samma kriterier, det ger en samlad bild som är rättvisande och representativ för informations- och cybersäkerhetsarbetet.

Ja, alla delar av säkerhetsarbetet som bidrar till verksamhetens informations- och cybersäkerhet skall inkluderas i Infosäkkollen.
Tänk på att inkludera alla arbetssätt, krav och rutiner i avtalet för att kunna ställa krav på er upphandlade aktör att leva upp till gott systematiskt informations- och cybersäkerhetsarbete.

Information om säker upphandling på Informationssäkerhet.se

Alla organisationer kan använda verktyget som finns tillgängligt på hemsidan. Alla organisationer är också välkomna att skicka in sina resultat.

Det finns flera skäl till detta. De huvudsakliga är att det ska vara enkelt, säkert och samtidigt resurseffektivt. Ett verktyg för alla svenska samhällsviktiga verksamheter behöver vara något som alla kan öppna och arbeta i.

Samtidigt handlar det om information som kan vara känslig, så det måste gå att hantera på ett säkert sätt. Många av er kommer att jobba med det i särskilda it-miljöer, som har olika begränsningar. Ni ska inte behöva introducera ny programvara eller oroa er för skadlig kod när ni gör en informations- och cybersäkerhetskoll.

Alla svar rapporteras in via ett formulär på MSB:s e-tjänsteportal. 

MSB:s e-tjänster

Formuläret inleds med att ni får göra en informationsklassning av ert svar, och beroende på den får ni en inrapporteringsrutin. Flödet är dynamiskt. Det finns fyra sätt ni kan inrapportera på:

1. För svar som inte omfattas av sekretess bifogas svarsfilen i formuläret.
2. För svar som omfattas av sekretess bifogas svarsfilen i formuläret.
   
   Om ni anser att ert svar omfattas av säkerhetsskydd ska ni rapportera in med ett ändamålsenligt signalskydd eller använda PostNords tjänst för värdeförsändelse.
   
   
3. Om ni avser använda signalskydd ska PGBI-nyckel beställas genom cybersakerhetskollen@msb.se senast 15/5 2024.
4. Om ni avser använda värdeförsändelse ska ni lägga svarsfilen okrypterad på ett USB-minne i ett kuvert, märkt "Cybersäkerhetskollen". Lägg sedan kuvertet i en säkerhetspåse. Sedan skickar ni säkerhetspåsen som värdeförsändelse med PostNord. Ni måste spara säkerhetspåsens och värdeförsändelsens nummer så att det kan skrivas in i formuläret på e-tjänsteportalen, detta för att MSB ska kunna verifiera vid mottagandet. Adressen ni ska skicka till är:
   
   Myndigheten för samhällsskydd och beredskap
   651 81 Karlstad

Ja, i och med att innehållet utgör en genomgång av hur en organisations informations- och cybersäkerhetsarbete ser ut och vilka eventuella brister som finns i detta, kan enskilda svar vara skyddsvärda.
Se mer om detta under frågan: Hur skyddar MSB våra inrapporterade svar?

Din organisation ansvarar för sekretessbedömning och eventuell säkerhetsskyddsklassificering av era svar, samt för att ge uppgifterna det skydd som krävs vid hantering, lagring och överföring. Ett tips är att först gå igenom frågorna och resonera kring skyddsvärdet i de svar ni avser att ange.

Om ni bedömer att svaren inte innehåller säkerhetsskyddsklassificerade uppgifter kan ni hantera dem i era vanliga it-system. Om ni bedömer att svaren eller delar av svaren är säkerhetsskyddsklassificerade och ni inte har it-system godkända för detta kan ni använda penna och papper.

I Cybersäkerhetskollen redovisar ni svar som är öppna (ej sekretessbelagda) och de svar som är sekretessbelagda redovisas på papper. Pappret kan sedan läggas i samma säkerhetspåse som USB-minnet.

MSB:s preliminära bedömning är att en del av uppgifterna som lämnas in kan komma att omfattas av sekretess enligt följande paragrafer:

• 18:8 gällande säkerhets- och bevakningsåtgärder
• 18:13 gällande möjlighet att förebygga och hantera fredstida kriser
• 15:2 försvarssekretess.

Det går inte att svara generellt på vilka uppgifter som omfattas av vilken paragraf. Sekretessbedömning görs på specifika upplysningar för varje enskild begäran om utlämning.

MSB kommer, utöver att pröva sekretess vid utlämningsbegäran, att vidta ett antal olika tekniska och administrativa säkerhetsåtgärder för att skydda både de enskilda svaren och den samlade massan av svar som bildas över tid hos myndigheten. Ett viktigt steg i att skyddet kring uppgifterna som hanteras i verktyget ska kunna upprätthållas ”hela vägen” är de rutiner MSB har på plats kring säker hantering för inrapportering.

Mer om de sekretessregler som kan tillämpas:

Uppgifter om säkerhets- eller bevakningsåtgärd – 18 kap. 8 § OSL

Enligt 18 kap. 8 § 3 OSL gäller sekretess för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser bland annat telekommunikation eller system för automatiserad behandling av information.

Enligt fjärde punkten i samma bestämmelse gäller detta även uppgifter som avser behörighet att få tillgång till upptagning för automatiserad behandling eller annan handling. Med uppgifter som lämnar upplysning om säkerhets- eller bevakningsåtgärd avses enligt denna punkt till exempel uppgifter om konfigurering av brandväggar. Uppgifter som kan bidra till upplysning om säkerhetsåtgärder kan också vara uppgifter om vilken typ och version av operativsystem eller annan programvara som används.

Risk- och sårbarhetsanalyser – 18 kap. 13 § OSL

Enligt 18 kap. 13 § OSL gäller sekretess för uppgifter som hänför sig till en myndighets verksamhet som består i risk- och sårbarhetsanalyser avseende fredstida krissituationer, planering och förberedelser inför sådana situationer eller hantering av sådana krissituationer om det kan antas att det allmännas möjligheter att förebygga och hantera fredstida kriser motverkas om uppgiften röjs.

Med begreppet fredstida krissituationer avses mycket allvarliga kriser, alltså inte olyckor och andra händelser av mer vardaglig karaktär. Verksamhet i form av risk- och sårbarhetsanalyser syftar till att minska samhällets sårbarhet, bland annat genom att öka myndigheternas förmåga att förutse och hantera fredstida krissituationer. För att uppgifter i denna verksamhet inte ska kunna utnyttjas till angrepp mot myndigheter, enskilda eller samhället i stort är det i viss utsträckning nödvändigt att begränsa insynen i denna verksamhet.

Försvarssekretess – 15 kap. 2 § OSL

Enligt 15 kap. 2 § OSL gäller sekretess för uppgift som rör verksamhet för att försvara landet eller planläggning eller annan förberedelse av sådan verksamhet eller som i övrigt rör totalförsvaret om det kan antas att det skadar landets försvar eller på annat sätt vållar fara för rikets säkerhet om uppgiften röjs.

Säker hantering av informationen består av flera saker. MSB rekommenderar samarbete med er organisations signalskyddschef (eller motsvarande), främst för att be denne vara er behjälplig i samband med inrapportering.

MSB vidtar också olika säkerhetsåtgärder för att skydda informationen som överförs från de svarande organisationerna. Är det någon särskild aspekt ni har frågor kring så kontakta oss gärna på: 

cybersakerhetskollen@msb.se

Det är genom inrapportering ni kan få jämförande återkoppling, tillexempel hur ni ligger till jämfört med liknande organisationer. Men det är också baserat på detta MSB kan vidareutveckla sitt stöd till er på området, samt ge regeringen den nationella lägesbild de efterfrågat.

För att Cybersäkerhetskollen ska kunna rapporteras in med ett ändamålsenligt signalskyddsystem måste kommunen ha sitt signalskyddssystem på plats, samt ha en färdigutbildad biträdande signalskyddschef.

Om organisationen inte har signalskyddssystem på plats, inrapporteras svaren på ett USB-minne i en säkerhetspåse som skickas som värdeförsändelse med PostNord.

Mer information finns ovan på ”Hur skickar jag in min organisations resultat från Cybersäkerhetskollen?”.

Om ni har möjlighet att lägga svaren på en CD/DVD, så fungerar det också.

Tänk på att stänga CD-skivan och sedan skicka den på motsvarande sätt som instruktionen för USB, det vill säga i säkerhetspåse och med värdeförsändelse.

Kanske kan ni ta tillfället i akt och se över möjligheten att etablera signalskyddsförmåga i organisationen?

Säkerhetspåsar används för hantering av värdefullt eller konfidentiellt material. Det är ett emballage som kan förseglas så att eventuellt försök till intrång i emballaget kan uppmärksammas.

Det finns flera leverantörer av säkerhetspåsar, vilket du snart hittar om du söker på nätet efter ”säkerhetspåse”. De flesta tar omkring 300 kr för 50 påsar. Gör ett inköp i enlighet med era regler.

Uppföljningsmodellen utgår från hur det beskrivs i MSB:s föreskrifter och stöd, som i sin tur bygger på standardserien ISO/IEC 27000.

Modellen ger stöd till uppföljning på en strategisk nivå. Resultatet visar i vilken utsträckning organisationen bedriver ett systematiskt informations- och cybersäkerhetsarbete, det vill säga har förutsättningar att bygga ett gott skydd för sin information.

Modellen mäter inte om den enskilda organisationens skydd är tillräckligt.

Det innebär att man arbetar medvetet och metodiskt för att skydda organisationens information. Det gäller skydd mot obehörig åtkomst, att informationen finns tillgänglig när den behövs, och att den går att lita på.

Olika organisationer har olika behov och olika risker, så skyddet behöver anpassas till organisationen för att vara ändamålsenligt.

En central del i det systematiska arbetet är att kontinuerligt följa upp och förbättra. Infosäkkollen utgör ett stöd för detta, och bidrar på så sätt till utvecklingen av hela informationssäkerhetsarbetet.

Mer information om systematiskt informationssäkerhetsarbete och det stöd som MSB erbjuder

Ett liknande stöd som Infosäkkollen har inte funnits tidigare (bland öppna alternativ som vi kan jämföra med).

Informationssäkerhetsfrågor ingår/har ingått i en del andra modeller och undersökningar, men inte med en så grundlig genomgång inriktad på det systematiska arbetet och hur det tillämpas i organisationen.

Vi har också studerat och övervägt internationella modeller, men landade i att denna lösning bäst svarar upp mot regeringsuppdraget, svenska förhållanden och blir mest naturligt för vidareutvecklingen av det stöd MSB tillhandahåller.

Många vanliga frågor finns besvarade här på vår webbplats eller i Fördjupningsinformationen (se under Vidare läsning).

Har du andra frågor kan du kontakta cybersakerhetskollen@msb.se.